【セキュリティ事件簿#2023-445】株式会社ホープ 当社子会社のサーバーへの不正アクセスについて


当社の子会社である株式会社ジチタイワークス(以下、ジチタイワークス社)のサーバーが、第三者による不正アクセスを受けたこと(以下、本件)を確認しましたのでお知らせいたします。関係者の皆様には多大なるご迷惑とご心配をおかけすることになり、深くお詫び申し上げます。

現時点で把握している本件の概要等は以下のとおりです。

■本件発覚の経緯

当社は、2023年10月23日18時頃、ジチタイワークス社が運営する「ジチタイワークスWEB」のWEBサイトが閲覧できなくなっている状況を確認しました。その後直ちに、WEBサイトを管理するサーバー管理委託業者に依頼し、当該業者を通じて不具合の原因調査を行ったところ、ジチタイワークス社のサーバーに対し、第三者による不正アクセスが行われ、データが削除されたことが原因であると判明しました。

それと同時に、「ジチタイワークス無料名刺」および「ジチタイワークスHA×SH(ハッシュ)」のWEBサイトも閲覧できなくなっている状況も確認しました。

ジチタイワークスWEB:https://jichitai.works/
ジチタイワークス無料名刺:https://meishi.jichitai.works/
ジチタイワークスHA×SH(ハッシュ):https://hash.jichitai.works/

■本件の影響

本件の影響については、以下のとおりです。

① 漏洩のおそれのある個人情報
不正アクセスを受けたサーバーのデータベースには、ジチタイワークス会員登録およびジチタイワークスHA×SH(ハッシュ)を通じて取得した個人情報20,912人分のデータを保存しているところ、現在調査中ではありますが、これらの個人情報が外部に漏洩した可能性があります。

個人情報には、所属団体、部署、役職、氏名、電話番号、メールアドレス、住所、生年月日のうち、一部又は全部が含まれています。不審なメールやハガキを受け取った場合は、身に覚えのない料金の請求には応じず、記載された連絡先には電話をせず、不安がありましたら、末尾の問い合わせ先や最寄りの警察署にご相談ください。また、不審なメールの添付ファイルの開封やリンク先にはアクセスせず、削除するようにしてください。

なお、要配慮個人情報や、クレジットカード情報などの財産的被害が生じる情報は取得・保有していないため、上記の漏洩のおそれがある個人情報に含まれておりません。

② データの滅失
上記個人情報を含むデータベースが削除された形跡があり、外部専門家の助言のもと復旧に向けて取り組んでおります。

③ ウェブサイトの障害
(1)ジチタイワークスWEB・ジチタイワークス無料名刺
・一時的なサイト閲覧不能(10月23日18時頃~24日1時頃)
※本件同様の不正アクセスは発生しない環境にした上で復旧しております。

(2)ジチタイワークス会員のマイページ、新規会員登録ページ
・一時的な利用不能(10月23日18時頃~26日16時頃)
※本件同様の不正アクセスは発生しない環境にした上で復旧しております。

(3)ジチタイワークスHA×SH(ハッシュ)
・サイトの閲覧、利用不能(10月23日18時頃~11月1日10時半頃)
※本件同様の不正アクセスは発生しない環境にした上で復旧しております。

■対応

当社は、本件を確認後、速やかに外部からのアクセス制限や侵入経路の遮断など必要な被害拡大の防止措置を講じており、復旧に向けて努めております。また、外部専門家の助言を受けながら、本件について、個人情報の漏洩の有無や範囲を含む技術的な調査を進めております。

今後の調査によって新たに報告すべき事項が判明次第、速やかにお知らせいたします。

なお、当社グループ内で緊急対策本部を設置し、原因究明活動と二次被害防止対策とともに、福岡県警への相談、個人情報保護委員会への速報を行っております。

また、今後、個人データが漏洩したおそれがあるお客様および関係者の皆様には、ジチタイワークス社よりお詫びとお知らせを個別に順次ご連絡申し上げます。

当社およびジチタイワークス社としましては、速やかな対応とサービスの復旧に向けて取り組むとともに、今後の再発防止策について強化してまいります。